Znajdź zawartość

Zaledwie trzy miesiące po premierze Firefoksa 4 Mozilla... zakończyła wsparcie dla tej przeglądarki. Przy okazji premiery Firefoksa 5 dowiedzieliśmy, jakie błędy zostały poprawione w wersji 3.6 przeglądarki, jednak odnośnie błędów w Firefoksie 4 użytkownikom zalecono, by zainstalowali najnowszą wersję przeglądarki. Tym samym jedynymi poprawkami bezpieczeństwa dla Firefoksa 4 była edycja 4.0.1, która ukazała się pod koniec kwietnia. Mozilla oficjalnie zakończyła wsparcie dla Firefoksa 4. Firma bierze przykład z Google'a, który nie publikuje poprawek dla starszych edycji Chrome'a, tylko informuje, jakie błędy zostały załatane wraz z najnowszą „stabilną" wersją, która jest automatycznie instalowana na komputerze użytkownika. Mozilla obecnie tego nie robi, jednak wyświetla użytkownikom Firefoksa informacje o dostępności nowej wersji i zaleca jej zainstalowanie. Użytkownicy, którzy zdecydują się na instalację, muszą liczyć się z tym, że niektóre wtyczki używane w Firefoksie 4 nie będą działały w Firefoksie 5. Ten problem trapi Mozillę od dawna. Wtyczki zwykle nie są tak często aktualizowane przez autorów jak sama przeglądarka, stąd pojawiające się problemy z kompatybilnością. Obecnie Mozilla zapewnia, że 84% najpopularniejszych pluginów oferowanych przez firmową witrynę jest kompatybilnych z Firefoksem 5. Tak szybkie zakończenie wsparcia dla Firefoksa 4 może zatem narazić na kłopoty tych użytkowników, którym zależy na konkretnych, niekompatybilnych obecnie, wtyczkach oraz użytkowników biznesowych, którzy zwykle muszą przetestować nowe wersje programów, więc nie instalują ich od razu po udostępnieniu.

Charlie Miller, który po raz kolejny wygrał konkurs Pwn2Own, a wcześniej zapowiedział ujawnienie 20 dziur w produktach Apple'a, stwierdził, że nie przekaże informacji o dziurach. Zamiast tego pokaże Apple'owi i innym firmom, w jaki sposób mogą znaleźć luki w swoich produktach. Już wcześniej Miller, który znalazł liczne niedociągnięcia używając techniki fuzzingu, mówił, że jest zdziwiony tym, iż tak łatwo na nie trafił. Stwierdził, że w produktach dużych firm, które zatrudniają olbrzymią liczbę ludzi w swoich wydziałach ds. bezpieczeństwa nie powinno być dziur, które jeden człowiek jest w stanie tak łatwo znaleźć. Tymczasem Miller użył zaledwie kilku linijek kodu dostarczającego do aplikacji błędnych danych, dzięki czemu doprowadzał do nieprawidłowości w ich działaniu, pozwalających na stwierdzenie, gdzie występują nieprawidłowości. W ten sposób szybko trafił na 20 luk w produktach Apple'a oraz luki w microsoftowym PowerPoincie, produkowanym przez Adobe Readerze oraz opensource'owym OpenOffice. Sprawa jest o tyle bulwersująca, że skądinąd wiadomo, iż koncerny korzystają z fuzzingu. Na pewno używał go Microsoft podczas całego cyklu rozwojowego swoich produktów (Security Development Lifecycle). Ludzie będą mnie krytykowali za to, że nie przekażę producentom informacji o błędach. Ale uważam, że bardziej rozsądnym jest im tego nie mówić. Mogę im powiedzieć, jak znaleźć luki. To może ich skłonić do działania - stwierdził Miller. Jedną ze znalezionych luk wykorzystał podczas ataku na Safari w czasie konkursu Pwn2Own.

Microsoft obiecuje, że wraz z kolejnymi comiesięcznymi poprawkami będzie dostarczał więcej informacji na ich temat. Koncern z Redmond będzie informował o tym, jak bardzo niebezpieczna jest dana luka i których programów dotyczy. Obecnie użytkownicy dowiadują się jedynie o ogólnej liczbie dziur, a ocena zagrożenia podawana jest wyłącznie w przypadku najbardziej niebezpiecznych niedociągnięć. Firma zmieni swoją politykę, gdyż, jak podaje, takiej zmiany oczekują jej klienci. Dotychczas ograniczanie ilości informacji było tłumaczone przez Microsoft obawą przed ich wykorzystaniem przez twórców szkodliwego kodu. Informacje dotyczące przyszłych poprawek udostępniane są w czwartek poprzedzający wtorkową publikację zestawu łat.

W 11. raporcie Internet Security Threat firma Symantec zauważa, że pomiędzy lipcem a grudniem 2006 w systemach operacyjnych Microsoftu znaleziono mniej luk niż w konkurencyjnych produktach. Jednak dziury niebezpieczne stanowiły większy odsetek, niż w produktach innych firm. W drugiej połowie ubiegłego roku w microsoftowych OS-ach znaleziono 39 dziur. Dwanaście z nich zakwalifikowano do kategorii "bardzo niebezpieczne”, 20 uznano za "średnio groźne”, a 7 "mało groźne”. W tym samym czasie w systemie Red Hat odkryto 208 dziur. Były wśród nich 2 "bardzo niebezpieczne”, 130 "średnio groźne” oraz 76 "mało groźne”. Mniej luk miał system Mac OS X. W apple’owskim systemie znaleziono ich 23. Wśród nich była 1 "bardzo niebezpieczne”, 31 "średnio groźnych” i 11 "mało groźnych”. Z raportu Symanteca wynika, że Microsoft skrócił czas pomiędzy wykryciem luki, a opublikowaniem łat. Koncern od dawna był krytykowany za to, że bardzo długo pozostawia niezałatane luki. Tym razem firma okazała się lepsza od konkurencji. Średni czas publikowania próbnej partii 39 łat wyniósł w przypadku Microsoftu 21 dni na łatę. Gorszy był zarówno Red Hat (58 dni) i Mac OS X (66 dni). Symantec dodaje, że koncern Gatesa został zmuszony do tak szybkiej reakcji, ponieważ dla większości odkrytych dziur cyberprzestępcy bardzo szybko opracowali szkodliwy kod je wykorzystujący.

Specjaliści ds. bezpieczeństwa wykryli kod wykorzystujący trzy świeżo załatane przez Microsoft luki w firmowych produktach. Dwie z nich koncern z Redmond ocenia jako "krytyczne". Pierwsza występuje w dołączonym do systemu Windows oprogramowaniu serwerowym. Pozwala ona na przejęcie kontroli nad zaatakowanym systemem. Specjaliści już wcześniej sygnalizowali, że spośród wszystkich luk, załatanych przez Microsoft w lipcu, właśnie ta ma największe szanse, by zainteresować cyberprzestępców. Druga z dziur znajduje się w usłudze DHCP. Atakujący może doprowadzić do przepełnienia bufora i przejąć kontrolę nad komputerem. Luka występuje w wielu wersjach Windows, także w XP i Server 2003. Wreszcie trzecia z dziur, to niedociągnięcie w Internet Information Services. Obawiać jej się powinni użytkownicy systemów Windows XP Pro i Windows Server 2003. Umożliwia ona bowiem przejęcie kontroli nad systemem. Ta luka została oceniona jako "ważna" ponieważ większość systemów jest tak skonfigurowanych, że jej wykorzystanie nie jest możliwe.